Plusieurs failles importantes ont été découvertes dans les logiciels utilisés par quelques-unes des plus grandes marques de voiture au monde.
Et il y a du beau monde, 16 marques au total : Ferrari, BMW, Mercedes, Porsche, Jaguar, Honda, Acura, Hyundai, Toyota, Nissan, Kia, Rolls-Royce, Land Rover, Ford, Genesis et Infinity. Les éditeurs de solutions SiriusXM, Spireon et Reviver sont par ailleurs aussi concernés.
Des véhicules qui passent sous le contrôle de hackers ?
La fin du tout mécanique dans les automobiles et l’apport de la connectivité dans le secteur sont indéniablement un gros plus. Malheureusement, si la technologie peut produire des résultats étonnants, elle apporte aussi avec elle son lot de vulnérabilités.
On savait ainsi déjà que les voitures sans clé pouvaient être attaquées par des pirates. Mais aujourd’hui, ce sont des problèmes d’une plus grande ampleur qui nous sont révélés par le chercheur de Yuga Labs, Sam Curry. Ce dernier a en effet repéré plusieurs failles d’envergure. Certaines auraient pu donner accès à un hacker aux données des utilisateurs stockées dans les systèmes des entreprises, quand d’autres offraient la possibilité d’exécuter des commandes à distance.
La plus importante de ces failles touchait le système de localisation de Spireon, spécialiste nord-américain des véhicules connectés. En l’exploitant, un potentiel attaquant aurait pu changer les commandes d’une flotte de 15,5 millions de véhicules. « Cela nous aurait permis de suivre et d’arrêter les démarreurs pour la police, les ambulances et les véhicules des forces de l’ordre », est-il ainsi expliqué.
La sécurité doit être renforcée
Certaines failles chez Ferrari, BMW ou Mercedes auraient elles permis de modifier les informations des comptes de propriétaires. Ou bien, pour d’autres encore, de suivre en direct la localisation GPS d’un véhicule, ou même de changer son statut en « volé ».
Les diverses failles égrenées par Sam Curry ont depuis été comblées grâce à une communication discrète entre l’équipe et les constructeurs concernés. Pour autant, les chercheurs estiment que les problèmes repérés étaient sérieux.
« Si un attaquant est en mesure de trouver des vulnérabilités dans les terminaux API utilisés par les systèmes télématiques des véhicules, il pourrait klaxonner, faire clignoter les phares, suivre à distance, verrouiller/déverrouiller et démarrer/arrêter les véhicules, entièrement à distance » détaille le papier. S’il y a de quoi s’inquiéter, les constructeurs vont devoir de leur côté redoubler de vigilance pour assurer la sécurité de leurs véhicules.
S. R.